【笔记争霸】西安交大捷普面试真实分享

gslzwsy

205
5

2020/03/19

        入坑前就看过陈老师的视频课程,在51CTO上看到了陈老师的全栈网络安全课程,二话不说就报名了;课程内容干货较多,所以课程还没看完就开始投递找工作了,以下是我面试“西安交大捷普网络科技有限公司”经验的真实分享,希望能帮助到大家。 


我是通过BOSS 直聘投递的简历

       一面时,附件简历发送给 HR 人事,满足要求约定面试时间。到公司后,联系   HR,然后做一个简单的自身情况了解(与技术无关),然后会给你给套题。 我结合这次面试用到的技术知识点给大家总结一版通用的版本:

安全分类:主机安全、Web 安全等

Web 安全技术SQL 注入、XSS 跨站脚本攻ji、CSRF 跨站伪造请求攻jiXXE(XML 外部实体注入)、中间件安全(ApacheTomcatNginxIIS 四大件)漏洞。

Web 安全技术知识点:概念、类型、手工攻ji及自动化攻ji所用到的语法及工具,并写出自动化攻ji中某项工具的使用命令语法(甚至会问到 Access 注入、Mysql 注入、MSSQL 注入和 Oracle 注入,分别为偏移注入、Dns 注入、反弹注入和报错注入)。

主机安全:端口类型、端口范围、常用服务的端口,Linux 安全等,尽量把杰哥的 MS17-010的实验好好多做几遍,反复,能够把过程熟记在脑子里。


       会 Python,当然杰哥的 Python 课程在 51CTO课程里面算是一个入门基础,如果要深挖建议可以学习下拼客学院里面的 Python 课程,那个比较全面。然后再去百度找找用 Python 写一些简单的扫描之类的。当然如果遇到问 API 接口的,直接绕过,反正不会就是不会,我骄傲~

       如果遇到问你渗透思路的,不论是网站还是主机渗透,你就按照杰哥课程讲的,就没问题。

       遇到问你关于漏洞的,肯定也不会,直接过,当然,如果你能会一点更好,就比如我遇到的这个题,写一下关于逻辑类漏洞,你能有多少写多少。

       更深一点会遇到 WAF BY PASS 的问题,截止目前我也还在学,所以能写的不多,只能写一个最简单的用Modify Header 去修改Cookie 然后写入URL 参数绕过WAF 的,等我把 WAF BY PASS 全部学完了再给大家适量分享。


关于技术面试,会问你一下你的经历,这块我要分类别了:  

对于学生而言:

       如果你是实习,你可以直接了当说明,你在学校的学习情况,那些课程你掌握的很好。然后你在外培训都学习什么课程,主要内容讲什么,可以把课程大纲能按照自己理解讲出来,这样技术会觉得你能到这一地步已经非常不容易了,而且你也好学,当然,你要是能持证是更好的。所以一定体现的是你好学,技术不好咱是愿意去学习的。

 

对于转行的亲来说:

       和学生一样,不过你要强调的是你是转行做来的,没底子,通过学习培训才打到的成就,然后把你做过的所有试验一股脑都说出来,就比如    webug、诸葛建伟老师的魔鬼训练营的靶场之类的,然后   MS7-010,反正只要是实验你就都说出来,让面你的技术知道你是有真材实料的,能上手的,但只不过需要有人带而已。不过如果你能更牛逼一些,能在漏洞平台上    提交漏洞的,那就更没的说。


对于本专业有经验的来说:

       就不要去说你现在学习的情况,重点去说之前你的工作,你参与了什么项目,整个项目一定 更要详细去介绍,包括几个人,什么设备,什么环境,干了什么,运用了什么技术,你负责的那一块。项目说完就做一个总结,那就是你擅长哪一块,不擅长哪一块。

All~Over~

注:版权所有归51CTO微职位   全栈网络安全专家  学员(详见作者)所有,未获得作者本人许可,请勿擅自转载~!